• Buradasın

    Authentication ve Authorization Eğitim Videosu

    youtube.com/watch?v=Sxodu7ZFOcs

    Yapay zekadan makale özeti

    • Bu video, Monofor'da CEO olarak çalışan ve Iden Ta'nın CEO'su olan Selçuk Armaya tarafından sunulan bir eğitim içeriğidir. Mehmet İnce ile birlikte yapılan bir yayından da bahsedilmektedir.
    • Video, authentication (kimlik doğrulama) ve authorization (yetkilendirme) konularını kapsamlı şekilde ele almaktadır. İçerikte parolaların tarihçesi, beş farklı authentication faktörü, subject, resource ve action kavramları, klasik ve modern kimlik doğrulama yöntemleri, OAuth, JWT, SAML gibi standartlaştırılmış protokoller ve parolasız oturum açma yöntemleri detaylı olarak anlatılmaktadır.
    • Sunumda ayrıca Triple A (authentication, authorization, accounting) kavramı, HTTP header'daki authentication yapısı, statüs kodları, Identity Server, Keycloak gibi authentication server'lar, single sign-on (SSO) ve multifactor authentication (MFA) gibi konular da ele alınmaktadır. Web-OAuth teknolojisi, QR kod ile parolasız oturum açma ve Discord gibi uygulamalardaki parola kullanmadan oturum açma özellikleri de detaylı şekilde açıklanmaktadır.
    00:06Giriş ve Konu Tanıtımı
    • Selçuk Armaya, Monofor'da CEO olarak çalışmakta ve access management konularında uzmanlaşmaktadır.
    • Konuşmacı, authentication, authorization, roll ve permission management konularını web uygulamaları üzerinde ele alacaktır.
    • Konuşma, multi-factor authentication, parolasız girişler, push loginler ve web-out konularını içerecektir.
    01:43Parolaların Tarihsel Gelişimi
    • Parolalar analog sistemlerde de kullanılmış olup, 1960'lı yıllarda dijital sistemlere girmiştir.
    • İlk parolalar plain text olarak tutulurken, zamanla parolaları tuzlama (salt) yöntemiyle şifrelemeye başlanmıştır.
    • 1980'li yıllarda OTP (one time password) teknolojisi geliştirilmiş, 1990'lı yıllarda ise public privacy infrastructure ve CAPTCHA web siteleri ortaya çıkmıştır.
    05:59Authentication ve Identification Kavramları
    • Authentication, kişinin kimliğini doğrulamasına imkan sağlayan bir mekanizmadır.
    • Identification, kişinin ne olduğuna cevap ararken, authentication kişinin kimliğini kanıtlamasını bekler.
    • Authentication beş farklı segmente sahiptir: something you know (parola), something you have (cihaz), something you are (biometrik veriler), something you do (lokasyon) ve something you know (davranışsal veriler).
    07:42Multi-Factor Authentication
    • Parola (something you know) sadece kişinin bildiği bir bilgi olup, güvenli değildir.
    • Cihaz (something you have) kişisel bir araç olarak hesaba ek güvenlik sağlar.
    • Biometrik veriler (something you are) ve lokasyon (something you do) da hesaba ek güvenlik faktörleri olarak kullanılmaktadır.
    • Davranışsal veriler (something you know) AI ve machine learning sistemleriyle profilleme yaparak hesaba ek güvenlik sağlar.
    11:58Otantikasyon ve Yetkilendirme Kavramları
    • Otantikasyon kısmında kim olduğumuzla ilgili kanıt sunarken, yetkilendirme kısmında ise bu kişinin uygulamada neler yapabileceğini sorgulamaya başlarız.
    • Yetkilendirme kısmında uygulamanın içerisindeki gruplar, roller, yetkiler veya doğrulama gerektiren herhangi bir şey bulunur.
    • Otantikasyon için "authN", yetkilendirme için "authZ" kısaltmaları kullanılır.
    14:01Otantikasyon Süreci
    • Otantikasyon sürecinde subject (kullanıcı) ve resource (bağlanacağımız sistem) arasındaki ilişki önemlidir.
    • İlk süreç olan registration, bir sistem üzerinde işlem gerçekleştireceğimiz noktada bizi karşılayan adımdır.
    • Otantikasyon sonrası subscribe (bağlanma) ve signout (bağlantıyı koparma) süreçleri gerçekleşir.
    16:19Web'de Otantikasyon Yöntemleri
    • Web'de otantikasyon için kullanıcı adı ve şifre gibi "something you know" bilgileri kullanılır.
    • Mobil sistemlerde pin doğrulaması gibi alternatif yöntemler de mevcuttur.
    • Bazı sistemlerde (örneğin banka uygulamalarında) parola yerine pin kullanılarak giriş yapılabilir.
    17:40Modern Otantikasyon Yaklaşımları
    • Günümüzde hayatımızı kolaylaştıran cihazların yeteneklerini yeterince kullanamıyoruz.
    • Cihazların authentication ve authorization işlemlerinde daha fazla kullanılması gerekiyor.
    • Cihazları kullanarak kullanıcıyı daha güvenli bir şekilde doğrulamak mümkün olabilir.
    19:33Modern Otantikasyon Protokolleri
    • Son 7-8 yılda otantikasyon yöntemleri şekillenmeye başlamıştır.
    • OAuth, SAML, JWT gibi standartlaşmış protokoller microservice ve API gateway'lerde kullanılmaktadır.
    • Kimlik sağlayıcı (identity provider) kavramı, kullanıcıya kimlik servis eden tarafı ifade eder.
    22:11Authentication ve Authorization Mekanizmaları
    • Authentication işlemleri, kullanıcıya servis vermek veya işlem gerçekleştirmek için oluşturulan uygulama ile kimlik sağlayıcı arasında veri alışverişi gerçekleştirilerek yapılır.
    • Identity initia ve identity priva, kimlik sağlayıcısının başlatmış olduğu otantik kesme işlemi ve otantik kesme protokolünü ifade eder.
    • Daha önce kullanılan authentication ve authorization mekanizmaları kısıtlı amaçlar ve teknolojiler için geliştirilmiş, ancak modern teknolojiye ayak uyduramamıştır.
    24:25Authentication ve Authorization Kavramları
    • Triple A (authentication, authorization ve accounting) kavramında, günümüzde accounting kısmı uygulamalardan atılmış gibi görünmektedir.
    • Authentication giriş yapma, authorization giriş yaptıktan sonraki uygulamada yapabileceğimiz şey, accounting ise uygulamada gezinti halindeyken ekran ile alakalı durumları kontrol etme mekanizmasıdır.
    • HTTP'de authentication için header'da authentication verisi gönderilir ve kullanılan şema (basic, CVT, Digest) ön tanımlar belirtilir.
    26:47HTTP Statüs Kodları ve Authentication Çözümleri
    • HTTP'de 401 statüs kodu, kullanıcının kim olduğunu bilmediğini ve otantik olması gerektiğini belirtir.
    • 403 statüs kodu, kullanıcıyı tanıdığını ve otantik olduğuna inandığını ancak o aksiyonu gerçekleştiremeyeceğini ifade eder.
    • Identity Server, Keycloak, Okta gibi ücretsiz veya paralı kimlik sağlayıcı çözümleri kullanılarak otantikasyon altyapısı oluşturulabilir.
    29:19Single Sign-On ve Multifactor Authentication
    • Single Sign-On, tek bir hesap ile birden fazla uygulamaya tekrar tekrar authentication gerçekleştirmeden tokenization yardımıyla yönlendirme imkanı sağlayan yapıdır.
    • Multifactor Authentication, klasik iki faktörlü doğrulamadan farklı olarak, kullanıcı, uygulama, cihaz ve risk faktörlerine göre adaptif şekilde iki veya üç faktörlü doğrulama sunar.
    • Google Authenticator, Microsoft Authenticator gibi uygulamalar, basit bir şekilde multifactor authentication desteği sunar ve hesapları cloud'da saklayabilir.
    33:51Parolasız Oturum Açma Yöntemleri
    • WhatsApp'ın web kısmında kullanılan QR kod, parolasız oturum açma yöntemi olarak çalışır ve kullanıcıyı otomatik olarak ilgili bilgisayarda veya tarayıcıda açar.
    • E-posta ile gönderilen sign-in linkleri, Discord gibi uygulamalar ve Mono Sign'ın Authenticator uygulaması da parola kullanmadan sistemlere bağlanmaya olanak sağlar.
    • Bu yöntemler güvenliksiz hissettirebilir çünkü kullanıcı adı ve parola paylaşılmaz, ancak cihaz üzerindeki güvenlik kontrolü (örneğin Face ID) kullanılarak oturum açılır.
    36:13Web Otentikasyonu Teknolojisi
    • Web Otentikasyonu (WebOTN) teknolojisi, kullanıcıların cihazlarındaki hesapları baz alarak parmak izi veya Face ID ile oturum açmalarına olanak sağlar.
    • Bu teknoloji sayesinde kullanıcı adı ve parola olmadan, cihaz üzerindeki hesap bilgileri transfer edilerek sistemlere kolayca bağlanılabilir.
    • WebOTN teknolojisi Windows, iOS, Android cihazlarda ve bu teknolojiyi destekleyen tarayıcılarda kullanılabilir.
    38:33Kimlik ve Erişim Yönetimi
    • Konuşmacı, kimlik ve erişim yönetimi ile ayrıcalıklı hesap yönetimi ürünleri üreten bir firma temsilcisi olarak kendini tanıtıyor.
    • Firma, single sign-on, access coverage ve multifactor authentication gibi konularla ilgileniyor ve sektör standardı olan authentication mekanizmalarını kullanarak sistemleri daha güvenilir hale getiriyor.
    • Firma ayrıca sistem üzerinde oditleme yapma, kullanıcı hareketlerini izleme ve profil bilgilerini güncelleyebilme gibi özellikler sunuyor.
    40:18WebOTN Sistemlerinde Oturum Açma
    • WebOTN sistemlerinde birden fazla cihazda oturum açmak mümkündür, ancak her cihazda aynı doğrulama işlemi gerçekleştirilmelidir.
    • Her cihazdan gelen kimlik doğrulaması için üretilen imzanın meşruiyeti kontrol edilir ve ana kimlik ile cihaz eşleştirilir.
    • Kullanıcı, birden fazla cihazdan (iPhone, iPad, bilgisayar) sisteme giriş yapabileceğini belirtir.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor